Krytyczne luki w Comarch ERP Optima — ryzyko przejęcia danych

TL;DR: Dwie krytyczne podatności w oprogramowaniu Comarch ERP Optima ¹ stwarzają poważne ryzyko dla polskich firm. Umożliwiają one atakującemu przejęcie kontroli nad bazą danych, a w konsekwencji nawet wykonanie kodu na serwerze. Producent udostępnił już wersję 2026.4 ², która usuwa zagrożenie. Aktualizacja jest pilna.

W skrócie: Zaobserwowaliśmy dwie luki w Comarch ERP Optima zgłoszone do CERT Polska ³. Pierwsza pozwala lokalnemu atakującemu na odczytanie z pamięci poświadczeń do bazy danych. Druga, groźniejsza, wykorzystuje zaszyte w kodzie hasło, co może pozwolić zdalnemu atakującemu na przejęcie kontroli nad serwerem. Rekomendujemy natychmiastową aktualizację do wersji 2026.4 ².

Wektor ataku

CERT Polska opublikował 14 maja 2026 roku ⁴ informacje o dwóch podatnościach w Comarch ERP Optima, jednym z najpopularniejszych systemów klasy ERP (Enterprise Resource Planning — oprogramowanie do zarządzania zasobami przedsiębiorstwa) na polskim rynku. Luki te, zidentyfikowane jako CVE-2025-68420 ⁵ i CVE-2025-68421 ⁶, dotyczą fundamentalnych aspektów bezpieczeństwa aplikacji i stwarzają realne zagrożenie dla integralności i poufności danych przetwarzanych w systemie — od danych finansowych po informacje o kontrahentach i pracownikach.

Dotyczy to wszystkich wersji oprogramowania poniżej 2026.4 ⁷.

CVE-2025-68420: Nieprawidłowe przypisanie uprawnień

Pierwsza podatność, sklasyfikowana jako CWE-266 (Incorrect Privilege Assignment) ⁸, czyli błąd w zarządzaniu uprawnieniami, dotyczy sposobu, w jaki aplikacja kliencka łączy się z bazą danych. Analiza komunikatu CERT Polska wskazuje, że klient Comarch ERP Optima nawiązuje połączenie z bazą danych, używając konta o wysokich uprawnieniach, niezależnie od tego, na jakie konto w aplikacji zalogował się użytkownik ⁹.

Oznacza to, że nawet jeśli pracownik ma w systemie ERP bardzo ograniczone prawa (np. tylko do wystawiania faktur), aplikacja na jego komputerze i tak dysponuje poświadczeniami do konta z szerokim dostępem do całej bazy danych.

Scenariusz ataku jest następujący:

1. Atakujący uzyskuje dostęp do stacji roboczej, na której zainstalowany jest klient ERP Optima. Może to być efekt infekcji złośliwym oprogramowaniem, ale także działanie pracownika z wewnątrz organizacji.
2. Mając kontrolę nad procesem aplikacji klienta, atakujący może wykonać zrzut pamięci tego procesu ¹⁰.
3. Z pozyskanego zrzutu pamięci możliwe jest wyodrębnienie poświadczeń (loginu i hasła) do uprzywilejowanego konta bazy danych.

Co istotne, aby ten atak był możliwy, aplikacja kliencka musi być jedynie skonfigurowana do połączenia z bazą. Użytkownik nie musi być nawet zalogowany do systemu w momencie ataku ¹¹. To znacznie poszerza ramy czasowe, w których atak może zostać przeprowadzony.

CVE-2025-68421: Użycie zaszytych w kodzie poświadczeń

Druga podatność, CVE-2025-68421 ⁶, jest potencjalnie znacznie groźniejsza. Została sklasyfikowana jako CWE-798 (Use of Hard-coded Credentials) ¹², co oznacza, że w kodzie aplikacji na stałe zapisano wrażliwe dane uwierzytelniające.

Analiza wskazuje, że klient Comarch ERP Optima wykorzystuje zaszyte w kodzie, niezmienne hasło do konta użytkownika bazy danych ¹³. To fundamentalny błąd projektowy, ponieważ hasło jest identyczne dla wszystkich instalacji oprogramowania. Gdy tylko zostanie ono raz odkryte, może zostać użyte do ataku na dowolną inną firmę korzystającą z podatnej wersji systemu.

Konsekwencje są poważne. Zdalny atakujący, który zna to hasło i jest w stanie połączyć się z serwerem bazy danych (np. z internetu, jeśli serwer jest błędnie wystawiony, lub z wewnętrznej sieci po jej skompromitowaniu), może uzyskać dostęp do bazy z podniesionymi uprawnieniami. Według informacji CERT Polska, uprawnienia te mogą pozwalać nawet na wykonywanie poleceń systemowych na serwerze ¹⁴. To prosta droga do RCE (Remote Code Execution — zdalne wykonanie kodu), czyli całkowitego przejęcia kontroli nad maszyną, na której działa baza danych systemu ERP.

Wskaźniki kompromitacji

Publiczne źródła nie dostarczają na ten moment klasycznych wskaźników kompromitacji (IoC — Indicators of Compromise), takich jak hashe złośliwych plików czy adresy IP serwerów C2 (Command and Control). Atak z wykorzystaniem tych podatności może zostać przeprowadzony przy użyciu standardowych narzędzi systemowych, co utrudnia jego wykrycie.

Zamiast szukać konkretnych IoC, zespoły bezpieczeństwa powinny skupić się na monitorowaniu zachowań anomalnych. Rekomendujemy poszukiwanie w logach następujących zdarzeń:

# Przykładowe zdarzenia do monitorowania (nie są to IoC)

- Połączenia do serwera bazy danych MS SQL z nietypowych adresów IP, zwłaszcza spoza zdefiniowanego zakresu adresów stacji roboczych i serwerów aplikacyjnych.
- Próby logowania do bazy danych przy użyciu kont serwisowych z maszyn, które normalnie z nich nie korzystają.
- Wykonywanie poleceń systemowych (np. przez `xp_cmdshell`) z poziomu procesu bazy danych.
- Nietypowe procesy wykonujące zrzuty pamięci procesów klienta Comarch ERP Optima na stacjach roboczych.

Co zrobić w 24-48h

Biorąc pod uwagę popularność oprogramowania Comarch w polskim sektorze MŚP oraz w administracji publicznej, a także krytyczność danych przetwarzanych w systemach ERP, rekomendujemy podjęcie natychmiastowych działań.

1. Priorytet 1: Aktualizacja. Najważniejszym i najskuteczniejszym krokiem jest bezzwłoczna aktualizacja oprogramowania Comarch ERP Optima do wersji 2026.4 lub nowszej ². Według producenta, ta wersja usuwa obie opisane podatności.

2. Priorytet 2: Segmentacja sieci. Jeśli natychmiastowa aktualizacja jest niemożliwa, kluczowe jest ograniczenie ryzyka związanego z CVE-2025-68421. Należy zweryfikować konfigurację sieci i zapory sieciowej (firewall), aby upewnić się, że serwer bazy danych nie jest dostępny z internetu. Dostęp do portu bazy danych (domyślnie 1433 dla MS SQL Server) powinien być ściśle ograniczony wyłącznie do adresów IP serwerów aplikacyjnych i stacji roboczych, na których jest to absolutnie niezbędne. To działanie nie chroni przed atakiem lokalnym (CVE-2025-68420), ale znacząco utrudnia zdalną kompromitację.

3. Priorytet 3: Audyt i monitoring. Należy dokonać przeglądu logów dostępu do bazy danych pod kątem podejrzanych połączeń, które mogły mieć miejsce w przeszłości. Warto również wzmocnić monitoring na stacjach roboczych z klientem ERP, zwracając uwagę na procesy próbujące odczytywać pamięć innych aplikacji. Systemy klasy EDR (Endpoint Detection and Response) mogą pomóc w wykryciu takich działań.

4. Kontekst RODO. Wyciek danych z systemu ERP, zawierającego dane osobowe klientów i pracowników, stanowi naruszenie ochrony danych w rozumieniu RODO (Rozporządzenie o Ochronie Danych Osobowych). Udana kompromitacja może wiązać się z obowiązkiem zgłoszenia incydentu do Prezesa Urzędu Ochrony Danych Osobowych oraz poinformowania osób, których dane dotyczą.

Atrybucja

Podatności zostały odpowiedzialnie zgłoszone przez badacza bezpieczeństwa Wojciecha Giełdę ¹⁵. Proces koordynacji i ujawnienia informacji był prowadzony przez zespół CERT Polska ³, co jest przykładem dobrej współpracy między niezależnymi specjalistami, producentem oprogramowania a narodowym zespołem reagowania na incydenty.

Źródła

Zobacz też

• Krytyczna luka RCE w SzafirHost od KIR (CVE-2026-44088)
• Krytyczna luka w Kids Online Store: RCE przez upload plików (CVE-2026-40750)
• Krytyczne luki w DHTMLX: RCE i odczyt plików

Footnotes

1. W Comarch ERP Optima wykryto dwie podatności — https://cert.pl/posts/2026/05/CVE-2025-68420/ ↩

2. Obie podatności zostały naprawione w wersji 2026.4 — https://cert.pl/posts/2026/05/CVE-2025-68420/ ↩ ↩² ↩³

3. Proces ujawnienia był koordynowany przez CERT Polska — https://cert.pl/posts/2026/05/CVE-2025-68420/ ↩ ↩²

4. CERT Polska opublikował informacje o podatnościach 14 maja 2026 roku — https://cert.pl/posts/2026/05/CVE-2025-68420/ ↩

5. Pierwsza luka ma identyfikator CVE-2025-68420 — https://nvd.nist.gov/vuln/detail/CVE-2025-68420 ↩

6. Druga luka ma identyfikator CVE-2025-68421 — https://cert.pl/posts/2026/05/CVE-2025-68420/ ↩ ↩²

7. Podatne są wszystkie wersje oprogramowania poniżej 2026.4 — https://cert.pl/posts/2026/05/CVE-2025-68420/ ↩

8. CVE-2025-68420 sklasyfikowano jako CWE-266 (Incorrect Privilege Assignment) — https://nvd.nist.gov/vuln/detail/CVE-2025-68420 ↩

9. Klient łączy się z bazą danych kontem o wysokich uprawnieniach niezależnie od konta zalogowanego użytkownika — https://nvd.nist.gov/vuln/detail/CVE-2025-68420 ↩

10. Atakujący kontrolujący proces klienta może wykonać zrzut jego pamięci i wydobyć poświadczenia — https://nvd.nist.gov/vuln/detail/CVE-2025-68420 ↩

11. Atak jest możliwy nawet gdy użytkownik nie jest zalogowany, o ile aplikacja jest skonfigurowana do połączenia z bazą — https://nvd.nist.gov/vuln/detail/CVE-2025-68420 ↩

12. CVE-2025-68421 sklasyfikowano jako CWE-798 (Use of Hard-coded Credentials) — https://cert.pl/posts/2026/05/CVE-2025-68420/ ↩

13. Klient Comarch ERP Optima wykorzystuje zaszyte w kodzie, niezmienne hasło do bazy danych — https://cert.pl/posts/2026/05/CVE-2025-68420/ ↩

14. Uprawnienia uzyskane przez atakującego mogą pozwalać na wykonywanie poleceń systemowych na serwerze — https://cert.pl/posts/2026/05/CVE-2025-68420/ ↩

15. Za zgłoszenie podatności podziękowano Wojciechowi Giełdzie — https://cert.pl/posts/2026/05/CVE-2025-68420/ ↩